Sicherheitsupdates: Kritische Lücken in Drupal-Modulen
Wer auf seiner Drupal-Website die Module reCaptcha v3 oder Webform einsetzt, sollte die Module aktualisieren.
![Sicherheitsupdates: Kritische Lücken in Drupal-Modulen](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/2/8/9/5/1/7/3/drupal-77f9e83082622a17.png)
Sicherheitslücken in den Modulen reCaptcha v3 und Webform machen mit dem Content Management System (CMS) Drupal 8.x erstellte Websites angreifbar. Die Drupal-Entwickler haben das Sicherheitsrisiko als "kritisch" eingestuft. Abgesicherte Versionen sind verfügbar.
Aufgrund einer fehlenden Überprüfung könnten Angreifer nach einer erfolgreich gelösten reCaptcha-v3-Abfrage ungültige oder unvollständige Formulare übermitteln. Womit eine solche Attacke endet, führt Drupal in einer Sicherheitswarnung nicht weiter aus. Die Ausgabe 8.x-1.2 ist abgesichert.
Ein Fehler in Webforms führt dazu, dass Angreifer auf eigentlich unveröffentlichte Infos zugreifen könnten. Die Version 8.x-5.12 schafft das Sicherheitsproblem aus der Welt.
Liste nach Bedrohungsgrad absteigend sortiert:
- reCAPTCHA v3 - Critical - Access bypass - SA-CONTRIB-2020-019
- Critical - Access bypass - SA-CONTRIB-2020-018
(des)